App Layering

Verzeichnisdienst

Sie können die Appliance so konfigurieren, dass eine Verbindung zu einem Verzeichnisdienst hergestellt wird, z. B. Active Directory. Wenn Sie eine Verbindung mit dem Verzeichnisdienst herstellen, erstellen Sie einen oder mehrere Verzeichnisknoten, um auf bestimmte Domänen oder Organisationseinheiten zuzugreifen. Die Appliance ändert den Verzeichnisdienst, mit dem Sie eine Verbindung herstellen. Die Software speichert die Attribute für jeden Verzeichnisdiensteintrag. Wenn die Verbindung zum Verzeichnisdienst vorübergehend unterbrochen wird, kann die Software die zwischengespeicherten Informationen für Verwaltungsaufgaben verwenden.

Beim Erstellen eines Directory Junction verwenden Sie die folgenden Akronyme nach Industriestandard:

  • Organisationseinheit
  • DC - Domänenkomponente

Informationen zum Verbinden der Appliance mit einem Verzeichnisdienst

In der Management Console wird im Fenster Benutzer > Verzeichnisbaum eine hierarchische Ansicht der Benutzer und Gruppen angezeigt.

Unterstützte Protokolle

Bei der Bindung an einen Verzeichnisdienst ist die App Layering-Appliance mit den folgenden Protokollen für sicheren Socket- und Transportschichten kompatibel:

  • Secure Socket Layer:
    • SSL 3.0
  • Transport Layer Security:
    • TLS 1.1
    • TLS 1.2

Was passiert, wenn Sie Verzeichnisknoten hinzufügen

Jeder von Ihnen erstellte Verzeichnisknoten gibt einen Startknoten in der Verzeichnisstruktur an. Ein neuer Verzeichnisknoten kann keine Benutzer enthalten, die bereits Mitglieder eines anderen Knotens sind, und Knoten können nicht verschachtelt werden.

Wenn Sie einen übergeordneten Verzeichnisknoten hinzufügen, werden alle untergeordneten Verzeichnisknoten zu diesem Knoten migriert. Alle importierten Benutzer und Gruppen werden zusammen mit allen Elastic Assignments in das übergeordnete Element verschoben. Nach dem Verschieben werden die untergeordneten Verzeichnisknoten gelöscht.

**Wenn Sie mehrere Distinguished Names erstellen **

Das System vergleicht zuerst die Domänenkomponente — die Teile des Distinguished Namens, die mit “DC =” beginnen. Bitte beachten Sie, dass bei Distinguished Names die Bestellung wichtig ist. Beispielsweise ist DC = A, DC = B anders als DC = B, DC = A. Das System fügt separate Verzeichnisknoten hinzu, wenn sich ihre DC-Komponenten unterscheiden oder wenn ihre DC-Komponenten übereinstimmen und sich die übrigen Komponenten nicht überlappen. Verzeichnisknoten werden zusammengeführt, wenn ihre DC-Komponenten übereinstimmen und ihre anderen Komponenten verwandt sind.

Benutzerattribute werden aus dem Verzeichnisdienst importiert

Die App Layering-Software importiert und speichert Benutzer- und Gruppenattribute aus Ihrem Verzeichnisdienst, wenn:

  • Sie weisen Administratorrechte zu einem Benutzer zu.
  • Die Werte der Attribute ändern sich im Verzeichnisdienst.

Die Attribute, die die Software zwischenspeichert, sind schreibgeschützt. Alle Änderungen an den Attributen für Verzeichnisdienstbenutzer stammen vom Directory Server.

Importierte Attribute werden regelmäßig synchronisiert

Die Software synchronisiert die Informationen, die sie für Verzeichnisdienstbenutzer zwischenspeichert, alle 12 Stunden mit dem Verzeichnisdienst. Wenn die Software erkennt, dass ein Benutzer kein Objekt mehr im Verzeichnisdienst ist, klassifiziert sie den Benutzer als abgebrochen (Sie können diese Informationen in der Informationsansicht für den Benutzer anzeigen).

Erstellen eines Verzeichnisverzeichnisses

  1. Wählen Sie Benutzer > Verzeichnisdienst.

  2. Wählen Sie in der Aktionsleiste die Option Directory Junction erstellen aus. Dadurch wird der Assistent zum Erstellen von Verzeichnisknoten geöffnet.

  3. Geben Sie auf der Registerkarte Verbindungsdetails die Details für den Directory Server an.
    • Directory Junction Name - Dieser Name wird zum Namen des Ordners, den Sie in der Strukturansicht sehen. Sie können einen beliebigen Namen verwenden, einschließlich des Namens einer Domäne in der Verzeichnisdienststruktur.
    • Serveradresse - Dies ist der Name des Servers, den Sie für den Verzeichnisdienst verwenden. (IP-Adresse oder DNS-Name)
    • Port - Geben Sie die Portnummer für die Kommunikation mit dem Directory Server an.
    • Kontrollkästchen SSL - Aktivieren Sie diese Option, wenn Sie die SSL-Kommunikation (Secure Sockets Layer) verwenden möchten. Wenn Zertifikatfehler auftreten, zeigt der Assistent eine Liste dieser Fehler an. Wenn Sie wissen, dass sie sicher ignoriert werden können, wählen Sie Zertifikatfehler ignorierenaus.
    • Verbindung testen - Klicken Sie hier, um zu überprüfen, ob die Appliance eine Verbindung zum Verzeichnisdienst herstellen kann.
  4. Geben Sie auf der Registerkarte Authentifizierungsdetails die Authentifizierungsdetails für einen Benutzer ein, der über Berechtigungen zum Durchsuchen des Verzeichnisdienstes verfügt.
    • Bind Distinguished Name - Informationen zum Bestimmen der richtigen Syntax für den Bind-DN oder den Benutzernamen finden Sie in der Dokumentation Ihres Verzeichnisses. Die folgenden Beispiele zeigen einige Möglichkeiten, wie Sie einen Benutzer für den Verzeichnisdienst angeben können:
      • domain\username
      • username@domain.com.
    • Kennwort binden. - Geben Sie das Kennwort ein
    • Test Authentication - Klicken Sie hier, um zu überprüfen, ob die Verbindung zum Directory Server gültig ist.
  5. Auf der Registerkarte Distinguished Name Details:
    1. Geben Sie an, wo die Software mit der Suche nach Benutzern und Gruppen im Remoteverzeichnisdienst beginnen soll. Beispiel: Um die Suche in der Organisationseinheit Gruppe B im Stammverzeichnis einer Domäne zu starten, geben Sie den folgenden Basisnamen ein: OU = GroupB, DC = mydomain, DC = com
    2. Klicken Sie auf die Schaltfläche Testbasis-DN, um sicherzustellen, dass der Basis-Distinguished Name gültig ist. Wenn Sie eine dieser Meldungen erhalten, bearbeiten Sie den Distinguished Base Name und testen Sie erneut:
      • Ein Verzeichnisknoten mit diesem Distinguished Name ist bereits vorhanden.
      • Dieser Distinguished Name ist bereits über einen vorhandenen Directory Junction zugänglich.
      • Dieser Distinguished Name umfasst mindestens einen vorhandenen Verzeichnisknoten, der durch diesen neuen ersetzt wird.
  6. Geben Sie auf der Registerkarte Attributzuordnung die Namen der Verzeichnisdienstattribute ein, die Sie den lokalen Attributen zuordnen möchten, oder verwenden Sie die Standardeinstellungen. Hinweis: Wenn Sie die Zuordnung von lokalen Attributen in Standardzuordnungen ändern möchten, klicken Sie auf Standardzuordnungen verwenden.

  7. Überprüfen Sie auf der Registerkarte Bestätigen und Vervollständigen die Verzeichnisverbindungseinstellungen, geben Sie ggf. einen Kommentar ein, und klicken Sie auf Verzeichnisknoten erstellen. Wenn Sie Kommentare eingeben, werden diese in der Informationsansicht Audithistorie angezeigt.
Verzeichnisdienst